Exchange 2019 Zertifikat abgelaufen und SMTP 587 keine Verbindung

[sync]

Hallo zusammen,

vor ein paar Tagen ist die Gültigkeit unseres Zertifikats abgelaufen.

Das ist auch kein Problem, es wurde wie gewohnt verlängert.

Doch dieses mal gibt es Probleme mit dem SMTP für unserer IMAP Accounts.

Outlook:

IMAP Posteingang ✔  Testnachricht senden ❌

Fehler: Testnachricht senden: Ihr Server unterstützt nicht den angegebene Verbindungsverschlüsselungstyp. Versuchen Sie, die Verschlüsselungsmethode zu ändern. Wenden Sie sich an Ihren Serveradministrator oder Internetdienstanbieter für weitere Unterstützung.

Auf unserem Server sind folgende Einstellungen getroffen:

Zertifikate

Lets Encrypt CN: remote.webdomain.de Dienste zugewiesen: IIS

MS Ex Server Auth Certifcate Dienste zugewiesen: keine

MS Exchange CN: HOSTNAME Alternativ HOSTNAME.DOMAIN.local Dienste zugewiesen: IMAP, POP, IIS

Exchange Delegation Federation CN: Federation Dienste zugewiesen: SMTP, Federation

WMSVC-SHA2 Dienste zugewiesen: keine

Im Empfangsconnector sind folgende Einstellungen hinterlegt:

Authentifizierung:

Client Proxy 

> TLS ✔Domänensicherheit ⬜

> Standardauthentifizierung ✔ erst nach dem Start von TLS ✔

>intigrierte Windows-Authentifizierung ✔> Exchange Server-Authentifizierung ✔

>Exchange-Server ✔ >Exchange-Benutzer ✔ >Anonyme Benutzer ⬜

>Port 587 > Adressen: Alle 0.0.0.0 - 255.255.255.255

>FQDN: remote.webdomain.de

---------------------------------------------------------------

Update 1: der Test-ImapConnectivity klappt aktuell noch nicht, möglicherweise gibt es mehr Infos, wenn der Testbenutzer wieder geht.

Hatte jemand von euch schon ähnliche Probleme oder ggf. eine Lösung gefunden? 

 

Vielen Lieben Dank im Vorraus

 

 

 

Bearbeitet 1. April 2020 von sync
tags

[_n4p_]

vor 29 Minuten schrieb sync:

Zertifikate

Lets Encrypt CN: remote.webdomain.de Dienste zugewiesen: IIS

MS Ex Server Auth Certifcate Dienste zugewiesen: keine

MS Exchange CN: HOSTNAME Alternativ HOSTNAME.DOMAIN.local Dienste zugewiesen: IMAP, POP, IIS

Exchange Delegation Federation CN: Federation Dienste zugewiesen: SMTP, Federation

WMSVC-SHA2 Dienste zugewiesen: keine

welches davon ist denn das erneuerte? Auf den ersten Blick würde ich denken das die SMTP Zuweisung fehlerhaft ist

[sync]

vor 1 Minute schrieb _n4p_:

welches davon ist denn das erneuerte? Auf den ersten Blick würde ich denken das die SMTP Zuweisung fehlerhaft ist

Lets Encrypt wurde erneuert, ich kann allerdings den DIENST SMTP nicht diesem Zertifikat zuweisen, MS Exchange speichert es nicht. Ich hatte auch schon die Dienste IMAP, POP auf dem Lets Encrypt zugewiesen, diese werden gespeichert, ändern allerdings nichts am Zustand. 

[_n4p_]

Das geht am besten mit der EMS und dem Befehl

Enable-ExchangeCertificate -Thumbprint <Abdruck des Zertifikates> -Services POP,IMAP,IIS,SMTP

 

[sync]

vor einer Stunde schrieb sync:

update 1: der Test-ImapConnectivity klappt aktuell noch nicht, möglicherweise gibt es mehr Infos, wenn der Testbenutzer wieder geht.

Test-ImapConnectivity -ClientAccessServer hostname -MailboxCredential (Get-Credential domain\benutzer)

klappt - Szenario IMAP4-Verbindung erfolgreich Result erfolgreich

[sync]

vor 30 Minuten schrieb _n4p_:

Das geht am besten mit der EMS und dem Befehl

Enable-ExchangeCertificate -Thumbprint <Abdruck des Zertifikates> -Services POP,IMAP,IIS,SMTP

 

Der Fehler war wohl 1. Über Weboberfläche 2. Hatte ich damals nicht alle Dienste ausgewählt

haha XD du bist heute echt mein Held

Habe es ausgeführt und alle überschrieben.

Danach hat es geklappt ✔✔✔

 

Bearbeitet 1. April 2020 von sync
xd

[sync]

Ich muss leider korrigieren. Es klappt leider noch nicht 😕

Folgendes habe ich noch getestet oder geprüft:

Test-SmtpConnectivity   >>> Alles erfolgreich

Get-Imapsettings

UnencryptedOrTLSBindings  SSLBindings LoginType X509CertificateName

{[::]:143, 0.0.0.0:143}   {[::]:993, 0.0.0.0:993} SecureLogin LetsEncrypt Zertifikat

Get-ExchangeCertificate | format-list services, subject, thumbprint

Services   : IMAP, POP, IIS	Services   : SMTP, Federation	Services   : None	Services   : None	Services   : None
Subject    : CN=remote.webdomain.de	Subject    : CN=Federation	Subject    : CN=Microsoft Exchange Server Auth Certificate	Subject    : CN=hostname	Subject    : CN=WMSvc-SHA2-HOSTNAME
Thumbprint : 1111	Thumbprint : 33333	Thumbprint : 44444	Thumbprint : 5555555	Thumbprint : 6666666

Get-ReceiveConnector -Identity "Default Frontend*" | Format-List Name,Fqdn,TlsCertificateName,Bindings

Name               : Default Frontend HOSTNAME
Fqdn               : HOSTNAME.DOMAIN.local
TlsCertificateName : <I>CN=Let's Encrypt Authority X3, O=Let's Encrypt, C=US<S>CN=remote.webdomain.de

Get-ReceiveConnector -Identity "HOSTNAME\Client Frontend HOSTNAME" | Format-List Name,Fqdn,TlsCertificateName,Bindings

Bindings           : {[::]:25, 0.0.0.0:25}

Name               : Client Frontend HOSTNAME
Fqdn               : remote.webdomain.de
TlsCertificateName : <I>CN=Let's Encrypt Authority X3, O=Let's Encrypt, C=US<S>CN=remote.webdomain.de

Bindings           : {[::]:587, 0.0.0.0:587}

 

Get-ReceiveConnector| Format-List fqdn, tlscertificatename,bindings,transportrole

Fqdn               : HOSTNAME.DOMAIN.local
TlsCertificateName :
Bindings           : {0.0.0.0:2525, [::]:2525}
TransportRole      : HubTransport

Fqdn               : HOSTNAME.DOMAIN.local
TlsCertificateName :
Bindings           : {[::]:465, 0.0.0.0:465}
TransportRole      : HubTransport

Fqdn               : HOSTNAME.DOMAIN.local
TlsCertificateName : <I>CN=Let's Encrypt Authority X3, O=Let's Encrypt, C=US<S>CN=remote.webdomain.de
Bindings           : {[::]:25, 0.0.0.0:25}
TransportRole      : FrontendTransport

Fqdn               : HOSTNAME.DOMAIN.local
TlsCertificateName :
Bindings           : {[::]:717, 0.0.0.0:717}
TransportRole      : FrontendTransport

Fqdn               : remote.domain.de
TlsCertificateName : <I>CN=Let's Encrypt Authority X3, O=Let's Encrypt, C=US<S>CN=remote.webdomain.de
Bindings           : {[::]:587, 0.0.0.0:587}
TransportRole      : FrontendTransport

Diese Seiten bin ich auch schon durchgegangen:

https://www.frankysweb.de/exchange-2016-smtp-connector-und-wildcard-san-zertifikate/

https://practical365.com/exchange-server/configuring-the-tls-certificate-name-for-exchange-server-receive-connectors/

https://docs.microsoft.com/de-de/powershell/module/exchange/encryption-and-certificates/enable-exchangecertificate?view=exchange-ps

https://docs.microsoft.com/de-de/exchange/clients/pop3-and-imap4/configure-authenticated-smtp?view=exchserver-2019

 

Der SMTP Dienst ist unter Zertifikate Federation ausgegraut, weder per Shell noch per Weboberfläche lässt es sich ändern. Außerdem ist das alte Zertifikat abgelaufen gewesen, ggf. ein weiterer Grund.

Hat jemand noch eine Idee? Weder über Port 25 noch über Port 587 lassen sich über IMAP Mails versenden.

Bearbeitet 3. April 2020 von sync
gg

[_n4p_]

1) gibt es eine Fehlermeldung zu dem Problem? ist das noch die gleiche wie im eröffnungspost?

2) auch wenn ich davon ausgehe das die konfiguration früher™ mal funktioniert hat, scheint es als würde er das zertifikat nicht mögen. gibt es das alte zertifikat noch um mal die SANs zu vergleichen? Alternativ würde ich aus der EMS heraus mal n neuen Certificate Request generieren (wirklich die EMS, das EAC macht [hier zumindest] nur Requests mit 1024 Bit Schlüssel) und mit dem zertifikat das nochmal neu versuchen.

[sync]

So wir haben jetzt wieder ein funktionierendes System:

Ich habe erst nochmal den Connector geprüft:

Get-ReceiveConnector "HOSTNAME\Client Frontend HOSTNAME" | format-list

Fqdn                                      : HOSTNAME.domain.local
ServiceDiscoveryFqdn                      :
TlsCertificateName                        : <I>CN=Let's Encrypt Authority X3, O=Let's Encrypt, C=US<S>CN=webdomain.de
Comment                                   : 587
Enabled                                   : True

Mit dem unteren Befehl habe ich es auf das selbst signierte Zertifikat geändert:

Microsoft Exchange

Selbstsigniertes Zertifikat
Aussteller: CN=HOSTNAME

Gültig bis: 04.04.2030

 $TLSCert = Get-ExchangeCertificate -Thumbprint XXXXXXXXXXXXXXXXXXXXX
$TLSCertName = "<I>$($TLSCert.Issuer)<S>$($TLSCert.Subject)"
Get-ReceiveConnector -Identity "Client Frontend*" | Set-ReceiveConnector -TlsCertificateName $TLSCertName

Allerdings hat es erst beim zweiten mal den Zertifikatsnamen gespeichert und ich habe zur Sicherheit die IMAP4 Dienste neugestartet.

Jetzt steht es wieder laut System richtig und funktioniert auch:

AdvertiseClientSettings                   : True
Fqdn                                      : HOSTNAME.domain.local
ServiceDiscoveryFqdn                      :
TlsCertificateName                        : <I>CN=HOSTNAME<S>CN=HOSTNAME
Comment                                   : 587

Weiterhin ist diesem Zertifikat kein SMTP,IMAP,IIS oder POP Dienst zugeordnet.

So klappt es zumindest mit dem versenden wieder, auch wenn eine Zertifikatswarnung einmalig beim Outlook starten kommt.

✌✌✔✔✔👍😊

 

 

[_n4p_]

Wenn ich das so lese bin ich froh das wir bisher nur SSL machen. Das kann ja spannend werden das umzustellen.

[sync]

vor 13 Stunden schrieb _n4p_:

Wenn ich das so lese bin ich froh das wir bisher nur SSL machen. Das kann ja spannend werden das umzustellen.

Auf jeden Fall diese 2x Webseiten haben auch noch geholfen.

https://practical365.com/exchange-server/configuring-the-tls-certificate-name-for-exchange-server-receive-connectors/

https://supertekboy.com/2017/02/28/tls-negotiation-failed-with-error-nocredentials/

und wichtig ist es in dem LOG Folder nach Fehlern zu schauen:

Exchange Server\TransportRoles\Logs\FrontEnd\ProtocolLog\SmtpReceive

 

Bearbeitet 8. April 2020 von sync
ssl